Discord bevestigde een datalek afkomstig van zijn externe ondersteuningsprovider, 5CA, die op 20 september werd gecompromitteerd. Het incident, dat op 3 oktober door het bedrijf werd bekendgemaakt, onthulde de persoonlijke informatie van gebruikers die interactie hadden gehad met de klantenserviceteams. Het beveiligingsincident van 2025 is een van de vele recente inbreuken op mondiale bedrijven, waaronder Google, Allianz, Farmers en Dior. Discord verklaarde dat de aanval de eigen interne servers niet rechtstreeks in gevaar bracht. In plaats daarvan kregen hackers ongeautoriseerde toegang tot de systemen van 5CA, een bedrijf dat een contract had gesloten om klantenservice te bieden. Dankzij deze toegang konden de aanvallers informatie bekijken van gebruikers die eerder contact hadden opgenomen met de klantenondersteuning van Discord of de Trust & Safety-teams voor hulp. Discord, een chatapplicatie met een maandelijks gebruikersbestand van meer dan 200 miljoen, wordt veel gebruikt door gamers, maar is uitgebreid met het hosten van verschillende andere communities voor tekst-, spraak- en videocommunicatie. De gegevens die bij de 5CA-inbreuk aan het licht kwamen, omvatten een reeks gebruikersinformatie: Discord-gebruikersnamen, de echte namen van gebruikers, e-mailadressen en IP-adressen. Beperkte factuurgegevens maakten ook deel uit van de gecompromitteerde gegevens, met name het gebruikte betalingstype en de laatste vier cijfers van de bijbehorende creditcards. Bovendien werd toegang verkregen tot de inhoud van berichten die werden uitgewisseld tussen gebruikers en klantenservicemedewerkers. Voor een specifieke subgroep van gebruikers werden afbeeldingen van overheidsidentiteitsbewijzen openbaar gemaakt die waren ingediend voor leeftijdsverificatiedoeleinden. Discord schat dat bij ongeveer 70.000 gebruikers wereldwijd de identiteitsfoto van de overheid is gecompromitteerd. De dreigingsgroep bekend als Scattered Lapsus$ Hunters (SLH) heeft de verantwoordelijkheid voor de aanval opgeëist, volgens een rapport van Bleeping Computer. Het rapport gaf ook aan dat de aanvallers probeerden hun ongeautoriseerde toegang te gebruiken om losgeld van Discord te eisen. Deze zelfde groep beweert ook toegang te hebben gekregen tot meer dan een miljard records van Salesforce, waarvoor zij naar verluidt bij een afzonderlijk incident ook losgeld eist. Het bedrijf maakte de inbreuk openbaar op 3 oktober, 13 dagen na de eerste inbraak op 20 september. Als reactie op de ontdekking sloot Discord onmiddellijk de toegang van 5CA tot zijn systemen af om verdere ongeoorloofde activiteiten te voorkomen. Het platform startte ook een intern onderzoek, waarbij een digitaal forensisch team werd ingeschakeld om de omvang en aard van de inbreuk te analyseren. Tegelijkertijd begon Discord met het proces om getroffen gebruikers rechtstreeks op de hoogte te stellen. Het bedrijf specificeerde dat alle officiële communicatie over dit incident uitsluitend vanaf het e-mailadres [email protected] zou worden verzonden en verklaarde dat het geen telefonische contact met gebruikers zou opnemen. Discord bevestigde verder dat verschillende categorieën gevoelige informatie bij het incident niet aan het licht kwamen. Deze niet-blootgestelde informatie omvat volledige creditcardnummers, CCV-beveiligingscodes, wachtwoorden voor gebruikersaccounts en alle gebruikersactiviteiten of inhoud buiten de specifieke gesprekken met klantenondersteuningsagenten. Naast zijn interne reactie heeft het bedrijf de relevante gegevensbeschermingsautoriteiten op de hoogte gebracht. Het werkt ook samen met wetshandhavingsinstanties die de zaak onderzoeken. Als toekomstgerichte maatregel voert Discord een audit uit bij al zijn externe leveranciers om de verbeterde beveiligings- en privacynormen af te dwingen.
Voor gebruikers die bezorgd zijn dat hun informatie mogelijk in gevaar is gebracht, worden verschillende beschermende maatregelen geadviseerd terwijl het platform het onderzoek voortzet.
- Authenticatie en wachtwoorden: Schakel tweefactorauthenticatie in en gebruik sterke, unieke wachtwoorden voor alle accounts.
- Accountmonitoring: Controleer accounts regelmatig op verdachte activiteiten.
- Communicatie en software: Wees voorzichtig met ongevraagde e-mails, berichten of links en gebruik betrouwbare antivirussoftware. Houd alle apparaten en software up-to-date.
- Gegevensprivacy: Overweeg een service voor het verwijderen van persoonlijke gegevens te gebruiken om onnodige informatie van internet te verwijderen.
